我正在 RedHat 服务器中执行一些安全修复,我需要确认 SSH 私钥密码已分配并且未共享。
我知道有些密码为空,但是对于那些确实有密码的,我该如何检查呢?
答案1
您的问题需要进一步澄清。
私钥应该与单个用户相关联 - 并且密码应该由该用户设置为只有他们知道的,并且相当长。
我认为密码应该由拥有私钥的用户指定,而不是强加给他们。他们可以更改密码。
在理想世界中,私钥本身应该由用户生成,并且永远不会传输(但在实践中,许多人缺乏处理这个问题的知识,不幸的是这条规则经常被打破)。
除非您有权访问私钥,否则您无法检查多个人/实体是否拥有相同的密码。如果您有权访问私钥,则需要撤销密钥并以您无法访问的方式重新发布 - 因为其他人也会拥有它们。